iptables/netfilter基于layer7实现应用层过滤

前言

做为网络管理员,对P2P、QQ、酷狗等软件是又爱又恨,大多数公司为了提高工作效率,禁止公司员工登陆QQ、看视频等,在市场上买专门的上网行为管理设备,随便一种都是价格不菲,而使用linux来做网关一样可以禁止qq、酷狗等软件,为实现此功能就需要为iptables/netfilter添加layer7模块,而iptables/netfilter是基于内核的,所以需要重新编译内核。

编译过程

环境介绍

系统环境:CentOS6.6

所需源码包:kernel-2.6.32-504.16.2.el6.src.rpm(红帽ftp站点提供)

                   iptables-1.4.20.tar.bz2

                   netfilter-layer7-v2.23.tar.bz2

                   l7-protocols-2009-05-28.tar.gz

编译内核

解决依赖关系

[root@Firewall ~]# yum groupinstall "Development Tools" "Server Platform Development" -y

创建所需用户并安装

1.jpg

将源码解压到指定目录

2.jpg

为内核打补丁

3.jpg

开始编译

4.jpg

首先选择此项

5.jpg

进入此项设定参数

6.jpg

下拉,选择此项并进入

7.jpg

进入核心过滤设置

8.jpg

启用layer7支持

9.jpg

返回第一层,进入此项

10.jpg

取消模块签名校验

11.jpg

返回,进入API加密设置

12.jpg

取消内核签名校验,否则无法编译安装

13.jpg

保存退出

14.jpg

编译安装

[root@Firewall linux]# yum install screen -y #为了防止意外,我们在screen里编译安装
[root@Firewall linux]# screen
[root@Firewall linux]# make
[root@Firewall linux]# make modules_install
[root@Firewall linux]# make install

看一下grub.conf文件,新内核的信息已经写入了

15.jpg

以新内核启动

16.jpg

编译iptables

解压并打补丁

17.jpg

备份脚本文件,卸载旧版本

18.jpg

编译安装

[root@Firewall ~]# cd iptables-1.4.20
[root@Firewall iptables-1.4.20]# ./configure --prefix=/usr --with-ksource=/usr/src/linux
[root@Firewall iptables-1.4.20]# make && make install

还原脚本

19.jpg

修改脚本

将所有/sbin/$IPTABLES替换为/usr/sbin/$IPTABLES

20.jpg

查看iptables版本

21.jpg

为layer7模块提供其所识别的协议的特征码

22.jpg

装载模块

23.jpg

添加内核参数,使之永久有效

[root@Firewall ~]# vim /etc/sysctl.conf 

net.netfilter.nf_conntrack_acct = 1

[root@Firewall ~]# sysctl -p

应用层过滤测试

案例要求

假设内网主机由服务器代理上网,为提高工作效率,禁止内网用户登录QQ

代理服务器:192.168.1.254(可访问网络),172.16.10.254

内网客户端:172.16.10.12

网络设置

24.jpg

25.jpg

172.16.0.0/16的网段在VMnet1内

开启服务器路由转发功能

[root@Firewall ~]# vim /etc/sysctl.conf

net.ipv4.ip_forward = 1

[root@Firewall ~]# sysctl -p

设置防火墙规则,使内网可访问网络

26.jpg

查看是否可以访问网络

27.jpg

我们找一个小号登录QQ测试

28.jpg

此时是可以登录的,我们下线,设置防火墙规则,禁用QQ

29.jpg

再次登录试试

30.jpg

登录失败,我们看一下防火墙,有没有匹配到报文

31.jpg

看,已经有报文被拒绝了,至此iptables基于layer7实现应用层过滤以实现,需要禁止其他程序,请自行添加相应规则

The end 

基于layer7的应用层防火墙就说到这里了,除了编译内核时比较费时间外,应该没什么别的麻烦的问题,希望本文可以帮到有需要的小伙伴,配置过程中遇到问题可留言。以上仅为个人学习整理,如有错漏,大神勿喷~~~

原创文章,作者:书生,如若转载,请注明出处:http://www.178linux.com/3635

(0)
书生书生
上一篇 2015-04-26
下一篇 2015-04-27

相关推荐

  • linux中权限管理

    权限的描述:           权限的意思就是用户拥有的对系统支配能力的大小在linux中是严格控制用户权限的,不同的用户给予不同的权限,权限应遵循能少给就尽量少给的原则从而增加系统的安全性。 进程安全上下文:    进程对问件访问权限的应用模型:进程的属主与文件的属主是否相同,如果相同…

    系统运维 2016-08-05
  • 磁盘及文件系统管理—第二篇

    挂载配置文件 每行定义一个要挂载的文件系统及相关属性     使用mount -a挂载/etc/fstab文件中所定义的文件系统     配置文件格式:         一共分为6个字段: &nbsp…

    Linux干货 2016-08-30
  • 马哥教育网络班第25期-第1周作业

    一、计算机的组成及其功能 计算机由硬件与软件组成 硬件     1、运算器                           &…

    Linux干货 2016-12-05
  • 说说web和http以及lamp/lnmp

    <span style="font-size: 24px;font-family: 宋体,SimSun">**说说web和http以及lamp/lnmp**</span> 说说web和http以及lamp/lnmp 在这篇文章当中你将看到如下内容: web与http的简介,网页的分类 度量网站流量的几个术语——知道…

    2016-05-28
  • HAProxy

    HAProxy简介 HAProxy是免费、极速且可靠的用于为TCP和基于HTTP应用程序提供高可用、负载均衡和代理服务的解决方案,尤其适用于高负载且需要持久连接或7层处理机制的web站点。HAProxy还可以将后端的服务器与网络隔离,起到保护后端服务器的作用。HAProxy的负载均衡能力虽不如LVS,但也是相当不错,而且由于其工作在7层,可以对http请求报…

    2017-05-17
  • 搭建SSH服务器

    Linux 远程登录服务:sshSSH是标准的网络协议,可用于大多数UNIX操作系统,能够实现字符界面的远程登录管理,它默认使用22号端口,采用密文的形式在网络中传输数据,相对于通过明文传输的Telnet,具有更高的安全性。SSH提供了口令和密钥两种用户验证方式,这两者都是通过密文传输数据的。不同的是,口令用户验证方式传输的是用户的账户名和密码,这要求输入的…

    Linux干货 2017-07-24